各位老铁们,大家好,今天由我来为大家分享LDAP构建统一认证服务,以及的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!
英文名
中文名
评论
DN
杰出的名字
尊贵的名字
表示条目在目录树中从根开始的绝对路径,是条目的唯一标识符。
直流
域名
域名
欧
组织单位
组织单位
最多可以有四级,每级最多32个字符,并且可以是中文
CN
通用名
用户名
LDAP的构建和使用
1. 安装ldap服务端及工具集
slapd是服务器程序,ldap-utils是工具集(ladpmodify、ldapadd等)
apt 安装slapd ldap-utils
2. 重设密码和DN等信息
dpkg-重新配置slapd
3. 配置支持memberOf模块
由于有些应用需要memberOf支持,所以我们需要在开头添加这个模块,以便后面使用的时候可以直接使用。本节包含参考链接。
首先,您需要创建三个新文件。您可以创建一个新目录,即memberof_config.ldif、refint1.ldif 和refint2.ldif。特别注意的是,在执行此操作之前,您需要获取几个参数。
查询ldap配置db文件。 ldapsearch -Q -LLL -Y 外部-H ldapi:///-b cn=config dn | grep db 查询ldap 模块路径。查找/usr/-name ldap
新建memberof_config.ldif,注意将olcDatabase和olcModulePath修改为上面查询的结果。
# vim memberof_config.ldifdn: cn=module,cn=configcn: moduleobjectClass: olcModuleListolcModuleLoad: memberofolcModulePath: /usr/lib/ldapdn: olcOverlay={0}memberof,olcDatabase={1}mdb,cn=configobjectClass333 60 olcConfigobjectClass3336 0 olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling:ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfNamesolcMemberOfMemberAD: memberolcMemberOfMemberOfAD : memberOfnew refint1 .ldif。
# vim refint1.ldifdn: cn=module{1},cn=configadd: olcmoduleloadolcmoduleload: refint 创建refint2.ldif。您还需要注意修改olcDatabase 以匹配上述查询的db 结果。
# vim refint2.ldifdn: olcOverlay={1}refint,olcDatabase={1}mdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: {1}refintolcRefintAttribute: memberof member manager Owner 运行以下命令来配置模块成员。
ldapadd -Q -Y EXTERNAL -H ldapi:///-f memberof_config.ldif 运行以下命令加载并配置refint 模块。
ldapmodify -Q -Y EXTERNAL -H ldapi:///-f refint1.ldifldapadd -Q -Y EXTERNAL -H ldapi:///-f refint2.ldif
4. 测试模块是否添加成功(生产环境不需要执行)
首先添加两个节点来存储用户和用户组。创建一个新的配置文件add_nodes.ldif。注意将dn的值修改为你自己的。
# vim add_nodes.ldifdn: ou=people,dc=zhushurui,dc=cnobjectClass:organizationalUnitou: Peopledn: ou=groups,dc=zhushurui,dc=cnobjectClass:organizationalUnitou:Groups执行以下命令使配置生效。注意dc被修改,输入密码后执行成功。
ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_nodes.ldif 添加用户,首先设置用户密码。
slappasswd -h {SHA} -s my_secret_password 结果如下:
{SHA}M6XDJwA47cNw9gm5kXV1uTQuMoY=新建配置文件add_user.ldif如下,添加用户,特别注意修改你的dn。
# vim add_user.ldifdn: uid=john,ou=people,dc=zhushurui,dc=cncn: John DoegivenName: Johnsn: Doeuid: johnuidNumber: 5000gidNumber: 10000homeDirectory: /home/johnmail3336 john.doe @example.comobjectClass: topobjectClass: posixAccountobjectClass: ShadowAccountobjectClass: inetOrgPersonobjectClass:organizationalPersonobjectClass: personloginShell: /bin/bashuserPassword: { SHA }M6XDJwA47cNw9gm5kXV1uTQuMoY=执行以下命令添加用户。您需要将dc和cn修改为您的管理员帐户。默认情况下,你只需要修改dc,然后输入你的管理员密码即可。
ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_user.ldif新建一个配置文件add_group.ldif,添加用户组,特别注意修改你的dn和member。
# vim add_group.ldifdn: cn=mygroup,ou=groups,dc=zhushurui,dc=cnobjectClass: groupofnamescn: mygroupdescription: All usersmember: uid=john,ou=people,dc=zhushurui,dc=cn执行以下命令添加用户组,这也需要待修改。 dc 和cn。输入密码后,添加成功。
ldapadd -x -D cn=admin,dc=zhushurui,dc=cn -W -f add_group.ldif 接下来查询用户是否配置了memberof模块。
ldapsearch -x -LLL -H ldap:///-b uid=john,ou=people,dc=zhushurui,dc=cn dn memberof
5. 安装phpldapadmin
phpldapadmin 可用于管理ldap。执行以下命令安装软件。
此时访问http://ip/phpldapadmin/即可访问apt install phpldapadmin。我们需要修改配置文件。
vim /etc/phpldapadmin/config.php 注意以下设置。第一句表示不会允许匿名用户登录,第二句只会允许管理员登录,第三句会修改登录页面默认填写的用户名,第四句会让phpldapadmin识别默认dn。
$servers-setValue(‘login’,’anon_bind’,false);$servers-setValue(‘login’,’allowed_dns’,array(‘cn=admin,dc=zhushurui,dc=cn’));$servers- setValue(‘login’,’bind_id’,’cn=admin,dc=zhushurui,dc=cn’);$servers-setValue(‘服务器’,’base’,array(‘dc=zhushurui,dc=cn’) );
6. 使用phpldapadmin新增用户和用户组
7. 安装和使用ldap-account-management(可选)
尝试后不建议使用。好像存在字段不全等问题。执行以下命令进行安装。
apt install ldap-account-manager 访问http://ip/lam 登录系统。然后按照下面的动画完成初始配置。初始化密码为lam。
配置服务器设置。
配置帐户。
——珀西·C 撰写
2021 年12 月14 日
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/199007.html
用户评论
搞搞嗎妹妹
看完这篇文章感觉真是太棒了!一直想学习搭建 LDAP 认证,现在终于有了清晰的方向!你讲得真的清晰易懂,关键点都交代清楚了,比网上其他教程更容易理解。
有18位网友表示赞同!
稳妥
LDAP 搭建统一认证确实很不错啊,能让企业管理用户身份更加规范和安全。 我之前的公司也是用 LDAP 管理的,感觉挺方便的,可以集中管理用户信息,权限控制也更灵活!不过搭建的过程还是相对比较复杂的吧?
有7位网友表示赞同!
伤离别
LDAP 真是神器啊! 我们公司项目需要统一认证,搭建 LDAP 能彻底解决用户账号共享、安全验证等难题。这篇文章讲得很好,就是配置部分稍微有些细节没提到啊。
有11位网友表示赞同!
无所谓
说句实话,这类型的文章我实在是浏览不下去!太多专业的术语了,我不太懂。能不能用更通俗易懂的语言解释一下?
有19位网友表示赞同!
桃洛憬
LDAP 听起来很复杂的样子,我感觉这种技术还是需要专业的人士来操作吧?普通人想了解一下,还蛮难啃的。 这篇文章写的比较干货了,但也比较深奥…
有19位网友表示赞同!
浅嫣婉语
LDAP 搭建挺麻烦的,我的公司最近正好在考虑这个问题,这篇文章给了我很大的帮助!特别是部署的过程详细讲解,可以帮我们参考配置环境。
有8位网友表示赞同!
怪咖
我之前一直是使用微信公众号进行身份认证的,但随着业务发展,这种方式已经够不着了。听说 LDAP 可以支持更多第三方应用,或许这才是真正意义上的统一认证机制?
有12位网友表示赞同!
别在我面前犯贱
LDAP 的好处我知道不少,比如安全性高、可管理性强等。但是现实中很多公司又会遇到各种各样的挑战,比如成本、操作复杂度,这也让人有点犹豫…
有6位网友表示赞同!
米兰
文章写的不错,把 LDAP 的优点和局限性都阐述的清晰。不过我更想了解一下,在实际项目中,如何选择合适的 LDAP 方案?哪个产品更加成熟可靠呢?
有15位网友表示赞同!
病态的妖孽
我一直都是对这种技术一知半解的状态,看了你的文章才稍微有点了解了。希望以后能多分享一些简单易懂的内容,让我这个小白也能慢慢学习!
有13位网友表示赞同!
灬一抹丶苍白
LDAP 用在哪 kind of scenario ? 我想听听你举例说明一下! 比如说哪些行业的公司特别需要 LDAP 的?
有11位网友表示赞同!
凝残月
这篇文章内容真不错!让我对 LDAP 有了一个更清晰的认识。之前总是感觉 LDAP 很神秘,现在看来,它其实就是一种高效、安全的身份验证系统!
有19位网友表示赞同!
汐颜兮梦ヘ
搭建LDAP 我以前也尝试过,不过最终因为各种原因放弃了。 看来还是自己技术能力不足啊… 这篇文章给了我很大的借鉴意义, 以后有机会再尝试一次!
有18位网友表示赞同!
顶个蘑菇闯天下i
统一认证服务确实很重要, LDAP 可以帮助企业实现更加集中化管理。但是如果公司规模不是特别大,是不是用更简单的身份认证方式就足够了? 例如: OAuth 或 SAML ?
有18位网友表示赞同!
孤廖
LDAP 的安全性还是非常高的,能够有效防止恶意攻击。不过,同时还需要注意其他方面的安全措施,比如定期更新软件漏洞,加强用户教育等。
有10位网友表示赞同!
有一种中毒叫上瘾成咆哮i
LDAP 作为一种成熟的认证协议,确实值得我们认真学习和使用。 这篇文章写的很全面,对初学者来说帮助很大!
有15位网友表示赞同!
权诈
搭建 LDAP 系统需要一定的技术水平, 如果企业没有专门的人员负责维护,可能会带来一些麻烦。 比如:系统故障、数据备份等问题。
有18位网友表示赞同!